Mein Homelab Setup: Multi-Site Infrastruktur mit Proxmox, Tailscale und Security-Stack

17. März 2026

In diesem Beitrag zeige ich euch mein aktuelles Homelab-Setup. Was als kleines Bastelprojekt begann, ist mittlerweile eine Multi-Site-Infrastruktur mit zwei Standorten, zwei externen Servern und einem zentralen Security-Stack.

Die Grundidee

Mein Homelab verbindet zwei physische Standorte (Wartenberg und Fuerstenberg) sowie zwei externe Server (Strato und IONOS) zu einem einheitlichen Netzwerk. Alles wird via Tailscale VPN sicher verbunden und zentral mit Wazuh SIEM/XDR und CrowdSec IPS ueberwacht.

Netzwerk-Architektur

Standort Wartenberg (Hauptstandort)

Am Hauptstandort laeuft die gesamte Infrastruktur ueber Glasfaser (FTTH) der Telekom:

  • Edge-Router: MikroTik hEX S* (RouterOS 7.x) — uebernimmt das Routing zwischen WAN und LAN
  • WLAN & DHCP: Synology RT6600ax* als zentraler Router mit zwei Synology MR2200ac* im Mesh-Verbund
  • DNS: Zwei Pi-hole-Instanzen hinter einem NGINX Load Balancer fuer Ausfallsicherheit

Die Netzwerksegmentierung ist mir wichtig — alles ist sauber getrennt:

SegmentSubnetzZweck
LAN192.168.1.0/24Hauptnetzwerk
Sonos192.168.3.0/24Multiroom-Audio
IoT192.168.4.0/24Smart-Home-Geraete
Gast192.168.5.0/24Gastzugang
Transit192.168.10.0/24MikroTik ↔ Synology

Standort Fuerstenberg

Der zweite Standort ist schlanker aufgebaut:

  • Edge-Router: MikroTik hEX S*
  • WLAN: Netgear Router
  • Subnetz: 192.168.2.0/24
  • Proxmox-Server fuer lokale VMs und Container
  • Home Assistant fuer die lokale Hausautomation

Beide Standorte sind ueber Tailscale miteinander verbunden — die Pi-holes in Fuerstenberg laufen ueber Tailscale-IPs und werden zentral verwaltet.

Virtualisierung mit Proxmox

Auf beiden Standorten laeuft Proxmox VE als Hypervisor. Darauf laufen saemtliche Dienste als VMs oder LXC-Container:

  • Wazuh Manager — SIEM/XDR fuer zentrales Security-Monitoring
  • CrowdSec LAPI — Intrusion Prevention System
  • Home Assistant — Smart-Home-Steuerung
  • Pi-hole (je 2x pro Standort) — DNS-basiertes Ad-Blocking
  • NGINX — Reverse Proxy und DNS Load Balancer
  • Paperless-ngx — Dokumentenmanagement
  • Paperless AI — KI-gestuetzte Dokumentenklassifizierung
  • Prometheus — Metriken und Monitoring
  • Loki — Log-Aggregation
  • Code Server — VS Code im Browser
  • Scrypted — Kamera-Management und HomeKit-Integration
  • Zigbee2MQTT — Zigbee-Gateway fuer Smart-Home-Geraete

Tailscale VPN: Das Rueckgrat

Tailscale ist das Herzstuck meiner Multi-Site-Architektur. Es verbindet alle Standorte und externen Server zu einem Mesh-VPN im 100.x.x.x-Bereich — ohne Portfreigaben, ohne komplizierte VPN-Konfiguration.

Die Zugriffskontrolle laeuft ueber Tags und ACLs:

  • tag:admin — Voller Zugriff (Mac Studio, MacBook, iPhone)
  • tag:security-manager — Security-Services (Wazuh, CrowdSec)
  • tag:external-server — Externe Server mit eingeschraenktem Zugriff
  • tag:homelab — Alle internen Geraete mit vollem Zugriff untereinander
  • tag:tailmox — Proxmox-Management (Port 8006)

Externe Server koennen beispielsweise nur die Security-Ports (1514, 1515, 8080, 55000) auf dem Wazuh/CrowdSec-Stack erreichen — nicht mehr.

Security-Stack

Wazuh SIEM/XDR

Wazuh laeuft als zentraler Security-Manager auf dem Proxmox-Server in Wartenberg. Agents sind auf allen kritischen Systemen installiert:

  • Beide externe Server (Strato und IONOS)
  • Alle Homelab-Dienste (Paperless, Prometheus, Code Server, etc.)
  • Netzwerk-Infrastruktur (Pi-holes, NGINX, Zigbee2MQTT)
  • Mac-Clients

Wazuh sammelt Logs, erkennt Anomalien und alarmiert bei Sicherheitsvorfaellen. Besonders nach einer Rootkit-Erfahrung auf dem Strato-Server Ende 2025 ist mir das zentrale Monitoring wichtig geworden.

CrowdSec IPS

CrowdSec ergaenzt Wazuh als Intrusion Prevention System. Die zentrale LAPI laeuft als LXC-Container in Wartenberg. Angebunden sind:

  • Strato — mit Firewall-Bouncer
  • IONOS — mit Firewall-Bouncer

CrowdSec nutzt Community-basierte Blocklisten und erkennt Angriffsmuster in Echtzeit. Ueber die CrowdSec Console habe ich alles im Blick.

DNS-Architektur

Die DNS-Konfiguration war eine der groessten Herausforderungen — vor allem um Schleifen zu vermeiden:

  1. Synology Router nutzt 1.1.1.1 und 8.8.8.8 als Upstream-DNS (nicht die Pi-holes!)
  2. Pi-hole hat “Never forward non-FQDNs” aktiviert
  3. Conditional Forwarding leitet lokale Anfragen aller Subnetze an den Synology Router weiter

So bekomme ich werbefreies DNS fuer alle Geraete, ohne dass sich Pi-hole und Router gegenseitig Anfragen zuschieben.

Externe Server

Neben dem Homelab betreibe ich zwei externe Server:

ServerHosterOSDienste
strato.ck99.ioStratoUbuntu 24.04 + PleskWeb, Mail
gruene-erding.deIONOSUbuntu 22.04 + PleskWeb, Mail

Beide Server sind ueber Tailscale ins Netzwerk eingebunden und werden zentral ueber Wazuh und CrowdSec ueberwacht.

Was ich gelernt habe

  • Segmentierung ist Pflicht. IoT-Geraete gehoeren nicht ins gleiche Netz wie der Arbeitsrechner.
  • Redundanz bei DNS. Zwei Pi-holes hinter einem Load Balancer — faellt einer aus, merkt es niemand.
  • Security ist kein Addon. Nach dem Rootkit auf dem Strato-Server war klar: Ein SIEM wie Wazuh ist kein Luxus, sondern Grundausstattung.
  • Tailscale ist ein Gamechanger. Multi-Site-VPN ohne Portfreigaben und NAT-Probleme — einfach installieren und fertig.
  • Infrastructure as Code. Alles was ich kann, automatisiere ich mit Ansible. Mein IaC_HomeLab Repository auf GitHub dokumentiert das Setup.

Naechste Schritte

  • MikroTik Bouncer fuer CrowdSec einrichten (beide Standorte)
  • Weitere Homelab-Geraete an CrowdSec anbinden
  • Proxmox-Server in Fuerstenberg an Wazuh anbinden

Fragen zu meinem Setup? Schreibt mir gerne →

Die mit * gekennzeichneten Links sind Affiliate-Links. Wenn du über diese Links einkaufst, erhalte ich eine kleine Provision — für dich ändert sich am Preis nichts.

Suche

Kategorien

Tags